Ein neuer Bericht von Horizon3.ai legt offen, dass klassische Verteidigungsstrategien zunehmend versagen. Die Analyse von über 50.000 Penetrationstests zeigt, dass Sicherheitslücken systematisch unterschätzt werden. IT Welt.at hat sich die Studie angesehen. [...]
Die Studie mit dem Titel „The State of Cybersecurity in 2025“ basiert auf zwei Datensäulen: Zum einen wurden mehr als 50.000 reale Penetrationstests (Pentests) mit der autonomen Plattform NodeZero ausgewertet, zum anderen ergänzen Umfrageergebnisse unter rund 800 IT-Verantwortlichen in Europa und den USA die Analyse. Die zentrale Erkenntnis: Viele Organisationen verlassen sich auf reaktive Schutzmaßnahmen und erfüllen lediglich Compliance-Vorgaben, anstatt sich aktiv auf reale Angriffsszenarien vorzubereiten. Der Ruf nach einem Umdenken hin zu offensivem Sicherheitsmanagement wird im Bericht deutlich formuliert.
Sicherheitslücken sind allgegenwärtig
Die Analyse von NodeZero fördert eine ernüchternde Realität zutage: 2024 wurden in den Testumgebungen 765.000 sicherheitskritische Auswirkungen dokumentiert, darunter über 415.000 kompromittierte Hosts, 174.000 Datenlecks sowie knapp 88.000 potenzielle Ransomware-Zugriffe. Diese Zahlen untermauern die Aussage, dass Schwachstellen nicht nur existieren, sondern aktiv ausnutzbar sind. Besonders alarmierend: In rund 52.000 Fällen waren auch kritische Infrastrukturen betroffen – also Systeme, deren Ausfall direkte Auswirkungen auf den Geschäftsbetrieb haben könnte.
Schwache Passwörter und übermäßige Berechtigungen
Ein wiederkehrendes Muster sind Angriffe über gestohlene Zugangsdaten. Fast 29.000 erfolgreiche Credential-Dumping-Vorgänge wurden von NodeZero dokumentiert. In diesen Fällen konnten übermäßige Nutzerrechte und mangelhafte Zugangskontrollen ausgenutzt werden, um sich innerhalb der Netzwerke lateral zu bewegen. Laut Studie erkennen Unternehmen zwar zunehmend die Gefahr von Credential-Angriffen, doch es fehlen Ressourcen und Knowhow, um diesen Herausforderungen wirksam zu begegnen.
Patchmanagement bleibt eine Dauerbaustelle
Über die Hälfte der befragten IT-Verantwortlichen räumt ein, dass Sicherheitsupdates verzögert eingespielt werden – oft aus organisatorischen Gründen wie Wartungsfenstern oder Budgetzyklen. Diese Verzögerungen verlängern die Angriffszeitfenster für Cyberkriminelle erheblich. In 2024 wurden mithilfe von NodeZero über 99.000 bekannte Schwachstellen erfolgreich ausgenutzt – darunter 170 Einträge, die auf der CISA-Liste aktiv angegriffener Schwachstellen (Known Exploited Vulnerabilities, KEV) stehen.
Cloud-Sicherheit bleibt unterentwickelt
Ein besonders kritischer Bereich ist die Cloud-Infrastruktur. 31 Prozent der befragten Unternehmen verzichten vollständig auf sicherheitsfokussierte Tests ihrer Cloud-Umgebungen. NodeZero konnte in 2024 über 7.000 konkrete Schwachstellen in Produktivumgebungen identifizieren – der Großteil davon (72 Prozent) betraf kompromittierte Microsoft-Entra-Konten. Auch fehlerhafte Rollenvergaben und mangelhafte IAM-Konfigurationen (Identity and Access Management) wurden zahlreich festgestellt.
Mean Time to Remediation (MTTR) im Fokus
Die Fähigkeit, erkannte Schwachstellen schnell zu beheben, wird in der Studie als entscheidend hervorgehoben. Dennoch vernachlässigen viele Organisationen die konsequente Nachverfolgung: 31 Prozent berichten von Ressourcenmangel, 16 Prozent priorisieren die Behebung sicherheitskritischer Probleme gar nicht. NodeZero zeigt anhand von Wiederholungstests, dass ein iterativer Prozess aus Test, Behebung und Verifikation die MTTR deutlich reduzieren kann.
Vertrauensdefizit bei klassischen Pentests
Der Report spart nicht mit Kritik an klassischen, manuell durchgeführten Penetrationstests: Über 40 Prozent der Unternehmen zweifeln an der Verlässlichkeit externer Berichte. Gründe sind unter anderem veraltete Ergebnisse, fehlendes Verständnis der Tester für die Systemarchitektur und unzureichende Handlungsanleitungen zur Risikominimierung. NodeZero verfolgt hier einen anderen Ansatz: Die Plattform bietet kontinuierliches, autonomes Testen mit detaillierter Dokumentation, reproduzierbaren Angriffspfaden und konkreten Handlungsempfehlungen.
Testfrequenz als Schlüsselfaktor
Ein weiteres Problem liegt in der Testfrequenz. Nur 26 Prozent der Unternehmen führen Pentests häufiger als einmal pro Jahr durch. Fast 20 Prozent geben an, lediglich regulatorischen Anforderungen zu folgen. Dies schafft vorhersehbare Angriffsfenster, wie sie etwa bei der PCI-DSS-Norm auftreten, die nur jährliche Tests vorschreibt. Demgegenüber zeigen Daten von NodeZero, dass Kunden im Schnitt alle zehn Tage testen – viele sogar wöchentlich oder häufiger. Diese erhöhte Testfrequenz verbessert laut Bericht nachweislich die Sicherheitslage.
Reaktive Sicherheit als strategischer Irrweg
Die Studie betont die Risiken eines reaktiven Sicherheitsansatzes. Nur acht Prozent der befragten Unternehmen führen kontinuierliche Risikobewertungen durch – 30 Prozent agieren erst nach einem Angriff. Dieses Verhalten wird als strategisches Versäumnis bewertet, das nicht nur Sicherheitslücken offenlässt, sondern auch regulatorische und finanzielle Risiken erhöht. Kontinuierliche Tests, wie sie NodeZero unterstützt, sollen hier einen proaktiven Gegenpol bieten.
Angriffssimulation als Zukunftsmodell
Obwohl 97 Prozent der befragten Sicherheitsexperten der Meinung sind, dass Unternehmen sich an den Methoden realer Angreifer orientieren sollten, scheitert die Umsetzung häufig an fehlenden Ressourcen oder Bedenken hinsichtlich operativer Risiken. Dennoch zeigt die Studie: Organisationen, die offensive Sicherheitsexperimente durchführen, gewinnen tiefere Einblicke in ihre Schwachstellen. NodeZero bietet hierfür ein skalierbares Modell, das sowohl Blue Teams als auch Red Teams unterstützt und Angriffe transparent nachvollziehbar macht.
Das Fazit der ITWelt-Redaktion
Der Horizon3.ai-Report zeichnet ein deutliches Bild: Reaktive Cybersicherheit reicht nicht mehr aus. Angreifer agieren automatisiert, koordiniert und mit hoher Geschwindigkeit. Um mitzuhalten, müssen Unternehmen ihre Verteidigungsstrategien überdenken und vermehrt auf kontinuierliche, offensive Tests setzen. Dabei geht es nicht nur um Technik, sondern auch um Kulturwandel: Sicherheit muss als ständiger Prozess verstanden und aktiv betrieben werden.
Die Studie kann hier heruntergeladen werden.
Be the first to comment